TappLock Corp., Alto Consumo
Los expertos en Infosec de PenTest Partners realizaron una prueba la semana pasada en la que pudieron desbloquear la tecnología de candado inteligente de TappLock en solo unos segundos. Estos investigadores pudieron aprovechar las vulnerabilidades en el método de autenticación digital, que sentían que tenía serios problemas. Los técnicos de PenTest comentaron que creían que una persona que pudiera averiguar la dirección MAC de Bluetooth de bajo consumo asignada a la cerradura inteligente podría desbloquear el código.
Si bien esta no sería una tarea sencilla para la mayoría de las personas, el dispositivo transmite esta dirección para que los expertos en tecnología inalámbrica puedan deshacer el bloqueo tan pronto como intercepten una transmisión. Las herramientas necesarias para interceptar una transmisión de este tipo tampoco serían muy difíciles de encontrar para aquellos con tales habilidades.
Vangelis Stykas, un investigador de IoT de Thessaloniki, ha publicado un informe de que las herramientas de administración basadas en la nube de TappLock también están influenciadas por una vulnerabilidad. El informe establece que aquellos que inician sesión en una cuenta están funcionalmente facultados para controlar otras cuentas si conocen los nombres de identificación de otros usuarios.
TappLock no parece utilizar actualmente una conexión HTTPS segura para transmitir datos a la base de operaciones. Además, los ID de cuenta se basan en una fórmula incremental que los acerca más a las direcciones de casa que los ID reales.
Stykas descubrió que no podía agregarse a sí mismo como usuario autorizado de ningún candado que no le perteneciera, lo que significa que la vulnerabilidad tiene limitaciones incluso sin que la compañía detrás del candado libere un parche.
Sin embargo, afirmó que podía leer algunos fragmentos de información personal de una cuenta. Esto incluye la última ubicación donde se abrió la cerradura. En teoría, un atacante podría averiguar cuál era el mejor momento para obtener acceso físico a un área. También parece que pudo abrir otro candado con la aplicación oficial.
Si bien no ha habido ningún anuncio sobre parches hasta el momento, no es difícil creer que la empresa lanzará algunos cambios lo suficientemente pronto considerando que han estado trabajando arduamente para corregir otras vulnerabilidades. Sin embargo, los investigadores también encontraron que, independientemente de las funciones de seguridad digital que estuvieran habilitadas en la aplicación, aún podían cortar la cerradura con un par de cortadores de pernos anticuados.
Etiquetas infosec
